LastPass تُؤكد تعرض بيانات العملاء في هجوم سلسلة التوريد عبر Klue

أكّدت LastPass حدوث خرق للبيانات ناجم عن هجوم على سلسلة التوريد استهدف Klue، وهي جهة خارجية. سرق المخترقون رموز OAuth من بيئة Klue، مما منحهم إمكانية الوصول إلى منصة Salesforce الخاصة بـ LastPass. ومن هناك، تمكّن المهاجمون من سحب بيانات حالات دعم العملاء، بما في ذلك الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني والعناوين الفعلية. النبأ السار، على الأقل في الوقت الحالي، هو أن خزائن كلمات المرور المشفّرة لا يبدو أنها تعرّضت للاختراق.

هذه ليست الحادثة الأمنية الخطيرة الأولى لـ LastPass. فقد تعرّضت الشركة لاختراق كبير في عام 2022 حصل فيه المخترقون على نسخ من خزائن كلمات مرور العملاء المشفّرة. أثارت تلك الحادثة انتقادات واسعة ودفعت بموجة من المستخدمين إلى الانتقال إلى مديري كلمات مرور منافسين. ويُذكّرنا هذا الاختراق الجديد، وإن كان أضيق نطاقًا، بأنه حتى عندما يظل المنتج الأساسي للشركة آمنًا، فإن البنية التحتية المحيطة به يمكن أن تتحول إلى ناقل للهجوم.

كيف أصبحت جهة خارجية الحلقة الأضعف

تتبع آليّة هذا الاختراق نمطًا موثّقًا جيدًا في هجمات سلسلة التوريد الحديثة. فقد تم اختراق Klue، وهي منصة استخبارات تنافسية تستخدمها LastPass، أولاً. وسرق المهاجمون رموز OAuth، وهي مفاتيح رقمية تسمح لخدمة بالمصادقة على أخرى دون الحاجة إلى كلمة مرور. وبحوزتهم تلك الرموز، تمكّن المهاجمون من الوصول إلى بيئة Salesforce الخاصة بـ LastPass كما لو كانوا نظامًا شرعيًا ومصرّحًا له.

هذه هي المشكلة الأساسية في هجمات سلسلة التوريد: قد تكون وضعيتك الأمنية قوية، لكن كل جهة خارجية تمنحها حق الوصول تصبح جزءًا من سطح الهجوم الخاص بك. سرقة رموز OAuth تعني تجاوز دفاعات LastPass نفسها إلى حد كبير. فالمهاجم لم يكن بحاجة إلى اختراق LastPass مباشرة؛ بل وجد بابًا جانبيًا عبر شريك موثوق.

بالنسبة للمستخدمين، يقتصر التعرض الفوري على معلومات الاتصال الشخصية بدلاً من كلمات المرور. لكن هذه البيانات تبقى قيّمة للمهاجمين. إذ يمكن استخدام الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني في حملات تصيّد ومحاولات تبديل شرائح SIM وهجمات الهندسة الاجتماعية التي قد تؤدي في النهاية إلى الاستيلاء على الحسابات.

لماذا لا تُعتبر مديري كلمات المرور وحدهم دفاعًا كاملًا

يُوضح هذا الاختراق أمرًا مهمًا: مدير كلمات المرور يحمي بيانات اعتمادك، لكنه لا يحمي كل ما يتعلق بك كمستخدم. البيانات التي تم كشفها هنا، وهي معلومات الاتصال وسجل حالات الدعم، موجودة خارج الخزينة المشفّرة. إنها تعيش في أنظمة إدارة علاقات العملاء ومنصات تذاكر الدعم وأدوات التسويق التي غالبًا ما تكون متصلة بعشرات الجهات الخارجية.

بالنسبة للمستخدمين المهتمين بالخصوصية، يشير هذا إلى قيمة تكديس طبقات الدفاع. المصادقة الثنائية (2FA) هي الترقية الأكثر فورية التي يمكن لأي شخص إجراؤها. حتّى لو حصل المهاجم على عنوان بريدك الإلكتروني وحاول استخدامه لإعادة تعيين بيانات اعتماد حساب في مكان آخر، فإن المصادقة الثنائية تُشكّل حاجزًا ذا معنى. كما أن استخدام تطبيق مصادقة بدلاً من المصادقة الثنائية المعتمدة على الرسائل النصية أقوى بكثير، حيث يُمكن نظريًا استخدام أرقام الهواتف المكشوفة في هذا الاختراق في هجمات تبديل شرائح SIM.

أما شبكة VPN فتُضيف طبقة منفصلة عبر إخفاء عنوان IP الخاص بك وتشفير حركة الإنترنت على مستوى الشبكة، مما يُقلّل من تعرّضك عند استخدام شبكات عامة أو غير موثوقة حيث يكون اعتراض بيانات الاعتماد أكثر قابلية للتحقيق. عند تقييم مزوّدي VPN، ابحث عن سياسات عدم الاحتفاظ بالسجلات الخاضعة لتدقيق مستقل؛ فخدمات مثل CyberGhost و Surfshark خضعتا لتدقيق عدم الاحتفاظ بالسجلات من قبل شركة Deloitte، مما يُعطي المستخدمين أساسًا موثّقًا من طرف ثالث للإيمان بادعاءات الخصوصية الخاصة بها.

النقطة الأوسع هي أن الدفاع متعدد الطبقات مهم. مدير كلمات المرور يؤمّن بيانات اعتمادك. المصادقة الثنائية تحمي حساباتك حتى لو تسرّبت بيانات الاعتماد. شبكة VPN تُقلّص التعرض على مستوى الشبكة. لا توجد أداة واحدة تغطي جميع التهديدات.

ماذا يعني هذا بالنسبة لك

إذا كنت من عملاء LastPass، فيبدو أن خزينة كلمات المرور المشفّرة الخاصة بك آمنة بناءً على ما كشفت عنه الشركة. ومع ذلك، قد تكون معلومات الاتصال الخاصة بك، بما في ذلك اسمك ورقم هاتفك وبريدك الإلكتروني وعنوانك الفعلي، في أيدي المهاجمين. هذه البيانات لها عواقب في العالم الحقيقي.

كن متيقّظًا لرسائل البريد الإلكتروني التصيدية التي تُشير إلى حسابك في LastPass أو سجل الدعم الخاص بك، حيث يمتلك المهاجمون الآن تفاصيل كافية لصياغة رسائل مقنعة. لا تنقر على الروابط في رسائل البريد الإلكتروني غير المرغوب فيها التي تدّعي أنها من LastPass. اذهب مباشرة إلى موقع LastPass الإلكتروني أو التطبيق إذا احتجت إلى اتخاذ أي إجراء.

إذا كان رقم هاتفك جزءًا من البيانات المكشوفة، فاتصل بمزوّد خدمة الهاتف المحمول لإضافة رمز PIN أو عبارة مرور إلى حسابك للحماية من هجمات تبديل شريحة SIM. هذه خطوة يتجاهلها الكثيرون إلى أن يفوت الأوان.

إجراءات عملية:

  • فعّل المصادقة الثنائية (2FA) على حسابك في LastPass وأي حسابات أخرى عالية القيمة فورًا، ويفضّل استخدام تطبيق مصادقة بدلاً من الرسائل النصية.
  • كن متشككًا من أي اتصال غير مرغوب فيه يشير إلى حساب LastPass الخاص بك، سواء عبر البريد الإلكتروني أو الهاتف أو الرسائل النصية.
  • اتصل بمزود خدمة الهاتف المحمول لإضافة قفل SIM أو رمز PIN للحساب إذا كان رقم هاتفك قد تعرض للاختراق.
  • راجع الخدمات الخارجية التي لديها إمكانية الوصول إلى حساباتك وألغِ رموز OAuth أو التطبيقات المتصلة التي لم تعد تستخدمها.
  • فكّر في استخدام VPN على الشبكات العامة لتقليل التعرض على مستوى الشبكة، خاصة عند الوصول إلى حسابات حساسة.

يُعد اختراق LastPass عبر Klue حالة دراسية نموذجية عن سبب تطلّب بيئة التهديد الحديثة حماية متعددة ومتداخلة. لا يوجد منتج أو جهة محصّنة ضد الاختراق، لكن المستخدمين الذين يُكدّسون دفاعاتهم يكون استغلالهم أصعب بكثير.